Die VMM Database beinhaltet viele Informationen, einige davon sind weniger kritisch, andere können durchaus sensitive Daten beinhalten, wie zum Beispiel Passwörter von Administratoren und Produkteschlüssel. Damit diese Information nicht einfach aus der Database, oder einer Kopie davon, ausgelesen werden können, werden diese durch VMM verschlüsselt. Per Default wird der dazu erforderliche Encryption Key auf dem lokalen VMM Server gespeichert. Dadurch entsteht allerdings die Situation, dass kein weiterer Server auf die Datenbank zugreifen kann. (weiterlesen …)

Mit SuisseID kommt der erste elektronische Identitätsnachweis der Schweiz. Damit ist beispielsweise möglich Verträge digital zu signieren, die Echtheit von E-Mails zu bestätigen oder Internetdienstleistungen mit einer sicheren Authentifizierung zu nutzen. Weitere Anwendungsmöglichkeiten sind zunehmend im Aufbau, zunehmende mehr Anbieter von Internetdienstleistungen bekunden Interesse an SuisseID und planen die Integration in den kommenden Monaten.

Sicherheit ist natürlich ein zentrales und auch sehr heikles Thema. Die Sicherheit muss natürlich auch immer im Gesamtkontext von Mensch, Computer und Internet bewertet werden, deren totale Kontrolle allerdings ausserhalb der Möglichkeiten einer SuisseID liegt. Diesen Umstand können auch nicht die Herausgeber der SuisseID, die Schweizerische Post/SwissSign AG und QuoVadis nicht ändern. Aber jeder User kann die Sicherheit seines Gesamtsystems massgeblich selbst beeinflussen.

In diesem Artikel geht es nun um das Anwendungsbeispiel, wie Firmen einen sicheren Zugang von extern auf Basis von SuisseID anbieten können. Die Idee ist aufzuzeigen, dass die Sicherheit von SuisseID auf für Basis Infrastruktur Themen wie Remote Desktop Services angewendet werden können.

(weiterlesen …)

Server Virtualisierung ist hoch im Kurs und auch Domain Controller werden inzwischen fleissig virtualisiert. Wer allerdings einen Domain Controller als Virtual Machine betreibt, sollte besonderes Augenmerk auf die korrekte Zeitsynchronisation legen. Grundsätzlich sollte dies kein Problem darstellen, denn…

… jeder Active Directory Client synchronisiert seine Zeit mit einem Domain Controller
… jeder Domain Controller gleicht seine Zeit mit dem PDC Emulator (Primary Domain Controller Emulator) FSMO Rolle ab.
… der Domain Controller mit der PDC Emulator FSMO Rolle kann die Zeit mit einer externen Zeitquelle abgleichen.

Was wenn die Zeit “falsch” ist? Doch “falsch” ist nicht gleich “falsch” – Haben alle Active Directory Clients die gleiche falsche Uhrzeit konfiguriert, so funktioniert die Authentifizierung nach wie vor. Doch wird nur bei einzelnen Computer oder Domain Controller eine falsche Uhrzeit konfiguriert, kann dies zu grossen Problemen führen. Denn bereits eine Abweichung von fünf (5) Minuten reicht aus, damit die Kerberos-Tickets ihre Gültigkeit verlieren.

Dead on arrival?

Seit Windows Server 2008 wird kein Microsoft Zeitserver (time.windows.com) mehr vorkonfiguriert. Dies bedeutet dass auch kein automatischer Abgleich mehr erfolgt. Auf diesen Umstand wird nun im Active Directory Best Practices Analyzer von Windows Server 2008 R2 entsprechend hingewiesen:

The PDC emulator master srv-dc01.intra.server-talk.eu in this forest should be configured to correctly synchronize time from a valid time source

Diesen Fehler gilt es nun zunächst zu korrigieren, doch auch funktioniert das cmdlet net time nicht mehr wie früher. Eine Möglichkeit für Windows Server 2008 R2 wäre folgender Befehl. Dieser kann in einem Command Prompt als Administrator ausgeführt werden: w32tm /config /computer:srv-dc01.intra.server-talk.eu /manualpeerlist:ntp.metas.ch /syncfromflags:manual /update

In diesem Beispiel wird der NTP Server von METAS verwendet. METAS ist das nationale Metrologieinstitut der Schweizerischen Eidgenossenschaft. Der Abgleich mit dem Zeitserver im Internet erfolgt jeweils mittels UDP 123. Dieser Port muss auch entsprechend auf der Firewall geöffnet werden, damit der Domain Controller mit dem Internet kommunizieren kann.

Do’s and Dont’s – was man vermeiden sollte

In einer Infrastruktur wo Domain Controller virtuell betrieben werden gilt es zudem noch weitere Punkte zu beachten:

Auch ein Hypervisor aktualisiert die Zeit seiner Guests. Um Probleme zwischen Hyper-V Host und Virtual Machines zu verhindern, muss bei den Domain Controller in den Integration Components, VMware oder Xen Tools die Zeit Synchronisation deaktiviert werden.

Eine Virtual Machine muss immer heruntergefahren (Shutdown) und darf nie pausiert werden. Da bei einer Pause Zeit / Datum nicht verändert werden, kann unter Umstände nicht mehr repliziert werden und es können veraltete Objekte (Lingering Objects) entstehen.

Für einen Domain Controller sind Snapshots und Undo Virtual Hard Disks (VHDs) sind absolut tabu! Eine falsche Anwendung kann in einem Desaster mit Verlust von Active Directory Informationen enden.

Pro Domain muss mindestens ein physikalischer Domain Controller inklusive GC, DNS und den FSMO Rollen existieren. Wenn dennoch sämtliche Domain Controller virtualisiert wurden, sollten diese zumindest nicht auf ein CSV Volume gespeichert werden, um ein einfacheres und schnelleres Recovery durchführen zu können.

Dazu hat Microsoft ein umfangreiches Dokument veröffentlicht. Der Reference Guide kann jeweils direkt im Microsoft Download Center heruntergeladen werden: Running Domain Controllers in Hyper-V. Zum Lesen von Word Dokumenten ist Microsoft Office Word oder der Microsoft Word Viewer erforderlich.

Windows Patch-Level

Bevor eine Virtual Machine als Domain Controller in Betrieb genommen wird, muss noch sichergestellt werden dass diese im Minimum folgenden Patch-Level aufweisen:

Weitere Informationen

• Microsoft KB 888794: Things to consider when you host Active Directory domain controllers in virtual hosting environments
• Jorge’s Blog: Lingering objects
• Yusuf’s Blog: Lingering Objects (veraltete Objekte)

Damit ein Citrix Provisioning Target Device automatisch als Mitglied einer Active Directory Domain aufgenommen werden kann, müssen zunächst folgende Komponenten dafür konfiguriert werden:

• Citrix Provisioning Server
  • Password Manager 
  • vDisk
  • Computer Account
• Group Policy

PVS “Password Manager” Konfiguration

1. In der Management Console die Properties des Provisioning Servers öffnen
2. Unter “Options” die Funktion “Enable automatic password support” aktivieren
3. Unter “Change computer account password every … days” die gewünschte Anzahl Tage eingeben. Der Default Wert von 7 Tagen ist in der Regel OK.

vDisk Konfiguration

1. In der Management Console die Properties der entsprechenden vDisk öffnen
2. Unter “Options” die Funktion “Enable Active Directory machine account password management” aktivieren

Computer Account

Für sämtliche Target Devices, welche einen Computer Account im Active Directory erhalten sollen, kann in der PVS Management Console mittels “Add target devices to domain…” ein Computer Account angelegt werden. Es empfiehlt sich, die PVS Target Devices in eine separate OU anzulegen (insbesondere auch bezüglich den GPO’s). Der Provisioning Server setzt beim Anlegen des Computer Account das Password im Active Directory.

Group Policy

Aus Sicherheit, damit das Operating System nicht selber das machine account password ändert, und der Provisioning Server nichts davon mitbekommt muss in der Group Policy die Funktion unterbunden werden. So wird sichergestellt, dass der PVS Target Device sich auch nach einem machine password change an der der Domain anmelden kann. Unter “Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\” muss die Option “Domain Member: Disable machine account password” aktiviert werden. Wie zuvor erwähnt macht es aus diesem Grund Sinn, die PVS Target Devices in eine eigne OU anzulegen, damit die GPO darauf gelinkt werden kann.

Weitere Informationen

• Microsoft KB 175468: Effects of machine account replication on a domain
• Rich Crusco’s Citrix Blog: Citrix Provisioning Server and Active Directory Machine Account Password Synchronization

Sysinternals, die Microsoft Tool Suite von Mark Russinovic, hat ein Tool zum Betrachten des Active Directory veröffentlicht. Mit dem Active Directory Explorer lassen zum, im Gegensatz zu integrierten Management Console, Suchkombinationen abzuspeichern und später wieder aufzurufen.

AD Explorer

Active Directory Explorer (AD Explorer) is an advanced Active Directory (AD) viewer and editor. You can use AD Explorer to easily navigate an AD database, define favorite locations, view object properties and attributes without having to open dialog boxes, edit permissions, view an object’s schema, and execute sophisticated searches that you can save and re-execute.

AD Explorer also includes the ability to save snapshots of an AD database for off-line viewing and comparisons. When you load a saved snapshot, you can navigate and explorer it as you would a live database. If you have two snapshots of an AD database you can use AD Explorer’s comparison functionality to see what objects, attributes and security permissions changed between them.

Support

Tools von Sysinternals kommen zwar inzwischen von Microsoft, werden allerdings als “as is” bereitgestellt. Ein Auszug aus den Sysinternals Software License Terms:

9. DISCLAIMER OF WARRANTY: The Software is licensed “as is”. You bear the risk of using it. Sysinternals gives no express warranties, guarantees or conditions. You may have additional consumer rights under your local laws which this agreement cannot change. To the extent permitted under your local laws, Sysinternals excluded the implied warranties of merchantability, fitness for a particular purpose and non-infringement.

10. LIMITATION ON AND EXCLUSION OF REMEDIES AND DAMAGES: You can recover from Sysinternals and its suppliers only direct damages up to U.S: $5.00. You cannot recover any other damages, including consequential, lost profits, special, indirect or incidental damages.

Download

Sysinternals AD Explorer kann direkt beim Hersteller heruntergeladen werden. Sysinternals Utilities können alternativ auch direkt via “Live.Sysinternals.com” gestartet werden.

[box type="download" size="medium"] AdExplorer.zip (242 KB) [/box]